Home » Así es como Corea del Norte vacía sus monederos a través de Zoom

Así es como Corea del Norte vacía sus monederos a través de Zoom

by v

Últimamente, Corea del Norte está utilizando llamadas falsas de Zoom potenciadas con IA para engañar a usuarios del sector de las criptomonedas y vaciar sus monederos en cuestión de minutos. ¿Cómo es posible que una simple videoconferencia baste para tomar el control total de sus dispositivos y eludir la vigilancia de los más expertos?

Un programa a gran escala con el objetivo de engrosar las cuentas públicas

Desde principios de 2020, Corea del Norte lleva a cabo una operación mundial de infiltración en empresas gracias a su ejército de «falsos teletrabajadores» en el marco de un programa de generación de ingresos para el Gobierno. Parece que parte de esta fuerza de trabajo ha sido reasignada recientemente a una nueva campaña de ingeniería social, dirigida esta vez al sector de las criptomonedas.

Recientemente, se han sustraído cerca de 300 millones de dólares, según detalla Taylor Monahan (más conocido por el seudónimo de Tayvano), investigador de seguridad en MetaMask.

El modus operandi es bastante conocido y está bien documentado, ya que Microsoft Threat Intelligence lleva observando estas actividades desde 2024. El atacante comienza por robar un perfil coherente y legítimo en función del objetivo al que apunta. A continuación, crea todo un ecosistema digital en torno a ese perfil robado (servicios de mensajería, redes sociales, perfiles de GitHub o LinkedIn) con el fin de establecer una huella digital legítima.

A continuación, se utiliza la inteligencia artificial (IA) para superponer la imagen de su perfil de origen sobre imágenes y vídeos que sirvan a sus objetivos. También utilizan VPN, VPS, servicios proxy y herramientas RMM para ocultar su geolocalización y su verdadera identidad digital.

Esto es también lo que nos indicaba recientemente Clarisse Hagège, fundadora de Dfns, quien nos confió haber sido objeto de un intento de intrusión llevado a cabo por tres hackers norcoreanos.

Además, destaca que el sector de las criptomonedas constituye un objetivo privilegiado en la estrategia de Corea del Norte. Encuentre nuestra entrevista completa en nuestro podcast:

Los candidatos deben proporcionar al menos tres referencias de sus empleos anteriores. La gente se olvida de hacerlo, pero funciona muy bien.

Una campaña de ingeniería social que aprovecha plataformas como Teams o Zoom

Esta estrategia se recicla hoy en día y se orienta hacia nuevos objetivos. Tal y como describe Taylor Monahan, el ataque tiene su origen en la corrupción de una cuenta legítima de Telegram. Estas cuentas objetivo suelen ser inversores de capital riesgo o ponentes, perfiles que pueden aprovechar nuestro sesgo de autoridad.

Tras analizar minuciosamente el historial de conversaciones de su primera víctima para alimentar su historia, se valen de los contactos ya establecidos. A estos se les redirige a reuniones de Zoom o Teams a través de un enlace de Calendly camuflado.

En las noticias: Corea del Norte estaría detrás del hackeo de 30 millones de dólares a Upbit

En el vídeo, la víctima interactúa con una grabación reciclada de un podcast o una aparición pública de la persona de autoridad; gracias a un uso inteligente de la IA, la transmisión de vídeo parece legítima.

A continuación, el atacante simula problemas de audio o vídeo. Pide a su víctima que descargue un SDK que le permita restablecer la conexión. Este último ejecuta un script malicioso, instalando un malware en el equipo del objetivo. Este troyano otorga un control total sobre el ordenador de la víctima, lo que proporciona acceso total a los monederos del objetivo.

Reforzar la seguridad operativa y mantener la vigilancia

Para protegerse de este tipo de amenazas, es fundamental disponer de una autenticación fuerte (contraseña segura) y multifactorial (aplicación MFA y 2FA) en sus aplicaciones de comunicación.

Además, es importante recordar que, durante una conversación con su interlocutor, debe saber quién le escribe (autenticidad), debe saber que lo que le escribe no ha sido alterado (integridad) y debe asegurarse de que nadie más conozca lo que han intercambiado (confidencialidad).

Por otra parte, nunca descargue paquetes de datos si no está seguro de su integridad y legitimidad. Si no es así, puede abrirlos en una máquina virtual dedicada para verificar su contenido.

Por último, en caso de que su cuenta de Telegram se vea comprometida, elimine su espacio y avise a sus contactos para prevenirlos y romper la cadena de estafas.

Mantenga la vigilancia y tenga en cuenta que su funcionamiento antropológico le expone a sesgos cognitivos (sesgo de autoridad, sesgo de familiaridad, sesgo de urgencia…). Cuando estos se aprovechan, es probable que usted sea la presa.

Related Posts

Leave a Comment